Гайнуллина Екатерина, Security Vision
В этом году мне удалось выступить на PHDays Fest 2025 и сегодня хочу поделиться краткими выкладками из своего доклада.
По мере увеличения числа инцидентов, связанных с уязвимостями в приложениях, компании пересматривают свои процессы и ищут инструменты, позволяющие строить по-настоящему защищённые продукты. Но почему так часто внедрение процессов безопасной разработки (SSDLC) оборачивается формальностью, а результат лишь видимость безопасности?
В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения.
Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.
Давайте представим, как могло бы выглядеть рабочее место SOC-аналитика будущего. В том числе рассмотрим, какие были бы полезны в реагировании и расследовании ML-помощники: некоторые из упомянутых в статье мы уже внедрили в наши продукты, а некоторые – еще в планах или могут послужить в качестве идеи для тех, кто сталкивается с подобными задачами.
Для кого подойдет наша статья: для тех, кто недавно из специалиста вырос в руководителя – как раз именно с этого мы и начинали. Во вторую очередь это будет полезно тем, кто перешел из компании в компанию и обзавелся новой командой; или тем, кого повысили с должности линейного руководителя – и теперь вы осваиваете должность, например, директора департамента.
Мы собрали как распространенные ошибки, так и действительно работающие советы, которые точно помогут вам найти общий язык с командой и руководством.
Современный ландшафт киберугроз характеризуется беспрецедентной сложностью и динамичностью. По данным исследования IBM Security X-Force, среднее время пребывания злоумышленника в системе до обнаружения составляет 204 дня, а каждая пятая организация сталкивается с так называемыми «живучими» угрозами (persistent threats), которые остаются незамеченными месяцами. В этих условиях традиционные подходы к информационной безопасности, основанные на периметровой защите и сигнатурных методах обнаружения, демонстрируют свою неэффективность. Концепции Managed Detection and Response (MDR) и Threat Detection, Investigation and Response (TDIR/XDR) представляют собой эволюционный сдвиг в кибербезопасности, предлагая комплексные платформы для активного противодействия современным угрозам.
Во второй части сравнительного обзора продолжается анализ ведущих интернет-сканеров и OSINT-платформ. На этот раз внимание сосредоточено на Censys и FOFA — двух мощных инструментах, каждый из которых предлагает уникальные подходы к сбору и структурированию данных об открытых сервисах в интернете. В статье рассматриваются архитектура платформ, синтаксис запросов, охват портов, возможности поиска по сертификатам и телу веб-страниц, а также примеры реального применения.
В современном интернете всё, что подключено к сети, может быть найдено — было бы желание и подходящий инструмент. Сканеры вроде Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP давно вышли за рамки «поисковиков для хакеров» и стали рабочими лошадками для специалистов по кибербезопасности, Red Team, SOC‑аналитиков и OSINT‑энтузиастов. Они позволяют буквально заглянуть в «техническое подбрюшье» интернета: найти уязвимые камеры, забытые базы данных, тестовые серверы без авторизации и промышленное оборудование, случайно выставленное наружу.
В этой статье приводится сравнение шести наиболее популярных и полезных поисковых систем открытых хостов. Рассматриваются особенности архитектуры, синтаксис запросов, доступность функций, а также возможности каждой платформы — включая API, интеграции с другими решениями, систему алертов, поиск по сертификатам, изображениями и т. д. Отдельное внимание уделено примерам практического применения и оценке релевантности данных. Это первая часть серии, посвящённой сравнительному обзору. В ней подробно рассматриваются возможности Shodan и ZoomEye. В следующих частях будет проведён анализ Censys, FOFA, Netlas и Criminal IP.
Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 2 данного свода знаний объясняются принципы оценки и управления киберрисками, описывается ряд методик оценки рисков и показывается, как и почему эффективное управление киберрисками позволяет обеспечивать кибербезопасность, а также обсуждается важность корректного реагирования на киберинциденты в случае, если реализацию риска не удалось предотвратить. Сегодня – вторая часть обзора Главы 2 CyBOK, в которой описываются принципы оценки и управления рисками.
В предыдущих статьях цикла (первая, вторая, третья), посвященного сбору событий в ОС Windows и Linux, мы рассмотрели, какие типы источников событий важны для мониторинга с точки зрения обеспечения информационной безопасности, а также каким образом осуществляется сбор и отправка соответствующий событий в системы мониторинга, в т.ч. был рассмотрен сбор событий с помощью агентов.
Так как мы уже начали эту тему и рассказали вам про процесс SCA, настало время поговорить о том, как именно тестируется исходный код приложений и сами приложения с точки зрения безопасности. Как и в прошлый раз, это статья для безопасников, которым по каким‑то причинам нужно поддержать разговор про SSDL — безопасную разработку.
Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 2 данного свода знаний объясняются принципы оценки и управления киберрисками, описывается ряд методик оценки рисков и показывается, как и почему эффективное управление киберрисками позволяет обеспечивать кибербезопасность, а также обсуждается важность корректного реагирования на киберинциденты в случае, если реализацию риска не удалось предотвратить. Сегодня – первая часть обзора Главы 2 CyBOK.
В настоящее время одним из главных вызовов в кибербезопасности является дефицит кадров, который во многом сдерживает развитие отрасли. Энтузиасты-самоучки и профессионалы, переходящие в ИБ из смежных профессий (например, из ИТ), зачастую ощущают необходимость подтянуть свои теоретические знания по ИБ. Непрерывно совершенствуемые учебные курсы в ВУЗах, программы профессиональной переподготовки, тренинги и курсы от вендоров и учебных центров предоставляют прекрасную возможность получить структурированные знания по ИБ, однако в большинстве своём они подразумевают либо длительное обучение (во многих случаях - очное), либо дают информацию только по определенному направлению профессии. Состоявшимся специалистам, студентам и энтузиастам, интересующимся темой ИБ, возможно, было бы интересно получить некий справочник-учебник с актуальной информацией по большинству современных направлений ИБ. В рамках образовательных инициатив Security Vision мы начинаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK).
Система обнаружения вторжений (СОВ) является одним из важных звеньев сетевой безопасности в инфраструктуре компании. Они могут встраиваться в комплекс сложных аппаратных устройств, например, в популярные сейчас межсетевые экраны нового поколения (NGFW), а также могут существовать как самостоятельные средства защиты информации (СЗИ).
Современный дизайн, стремящийся к удобству и интуитивности, может стать опасным оружием в руках злоумышленников. Минималистичные интерфейсы, копирующие стиль популярных брендов, вызывают доверие, позволяя обманом получить данные пользователя. Темные паттерны — яркие кнопки «Согласиться» вместо почти невидимых «Отклонить» или ложные таймеры с надписью «Действуйте срочно!» подталкивают к поспешным действиям. А эмоциональные триггеры вроде фейковых уведомлений «Ваш аккаунт будет заблокирован!» отключают критическое мышление.
Цель этой статьи — показать, как киберпреступники используют самые неожиданные и тонкие механизмы для атак, опираясь на привычное поведение пользователей. В статье будут рассмотрены интересные и необычные техники, которые не сразу бросаются в глаза, но способны нанести серьезный ущерб.
Гайнуллина Екатерина, Security Vision
CVE-2024-6387, известная как regreSSHion, представляет собой критическую уязвимость в OpenSSH, затрагивающую серверную часть (sshd) на системах с использованием glibc. Уязвимость была вызвана гонкой данных (race condition) в обработчике сигналов SIGALRM, который используется для обработки таймаутов во время аутентификации. Проблема возникает из-за вызова небезопасных для сигналов функций, таких как syslog() и malloc() в асинхронной среде обработчика сигналов.
И здесь мы в Security Vision можем с уверенностью сказать: наши клиенты могут спать спокойно. Мы тщательно следим за всеми обновлениями, будь то OpenSSH, библиотеки или другие ключевые элементы инфраструктуры. Более того, наши решения активно адаптируются к новым вызовам, обеспечивая надёжную защиту. Ведь безопасность наших клиентов — это не просто наша работа, это наша миссия.
Security Vision
С ростом распространенности искусственного интеллекта (ИИ) и машинного обучения (ML) в бизнесе и промышленности, вопросы безопасности этих технологий становятся все более актуальными. Например, согласно отчету «Яков и Партнеры», всего треть опрошенных компаний в РФ находятся на стадии погружения в область ИИ, 23% уже экспериментируют с этой технологией, а 17% в своих стратегических целях отметили масштабирование показавших себя решений. В отчете McKinsey, для сравнения, говорится, что среди стратегических целей развитие и масштабирование ИИ имеют от 15% до 19% опрошенных компаний.
Современные модели машинного обучения обладают огромным потенциалом, но в то же время они открыты для множества угроз, включая кражу интеллектуальной собственности, атаки на конфиденциальные данные, манипуляции моделями и многое другое. В связи с этим, на рынке появляются специализированные платформы и решения, направленные на защиту ML-систем, особенно заметно это в зарубежном пространстве. В этой статье мы рассмотрим ключевые концепции и решения в области безопасности машинного обучения, а также приведем примеры некоторых продуктов и платформ. Некоторые из мер противодействия угрозам ИИ и видов продуктов безопасности будет возможно реализовать на основе платформы Security Vision, о чем мы более подробно скажем в конце статьи.
Концепции безопасности машинного обучения
Безопасность ML систем – это комплексная задача, требующая применения различных методов и технологий на разных стадиях жизненного цикла модели: от разработки и обучения до эксплуатации и обновления. Разработка делится на такие шаги, как сбор данных, их исследование и изыскание подходящей архитектуры модели, обучение, и валидация модели, а эксплуатация — это автоматизация этих процессов, вкупе с системой мониторинга и оптимизации кода для эффективного потребления ресурсов. Подробнее о практических аспектах практического машинного обучения — тут и тут. А исходная спецификация процесса разработки и внедрения в эксплуатацию ML описана в данной статье.
Максим Анненков, Борис Захир, Security Vision
Введение
В эпоху цифровизации и постоянно растущего количества киберугроз каждая компания стремится понять, сколько она вкладывает в кибербезопасность и какую отдачу это приносит. Кибербезопасность — небесплатное предприятие, и для эффективного управления рисками и оценки отдачи от инвестиций в безопасность требуется грамотный подход.
Один из ключевых аспектов такого подхода — оценка рисков. Это важный инструмент, который помогает понять соотношение затрат на меры защиты со степенью снижения подверженности угрозам, которой можно добиться за счет их внедрения. Оценка рисков может быть как качественной, так и количественной, но самое важное — извлечь из этого процесса полезные выводы, чтобы принять взвешенные и обоснованные решения.
За последнее десятилетие мы убедились, что выполнение вручную процессов расследования и реагирования ограничивает нас по скорости, что сильно сказывается на возможности обрабатывать прирастающий с каждым днем поток инцидентов и угроз. Для того, чтобы помочь в решении складывающейся ситуации специалисты ИБ начинают применять в своей практике новые подходы, такие как Everything as Code (EaC), который зародился на базе практик разработки ПО.
Одна из основных проблематик обнаружения инцидентов, процедур Threat hunting и обнаружения угроз (TI) — высокая гранулярность скриптов и функций, необходимость контроля версий и учета изменений. Поэтому инженеры по информационной безопасности, стремясь повысить эффективность детекта и улучшить качество работы переняли лучшие практики из IT-разработки и назвали этот метод Configuration-as-Code. Давайте разберемся, что он из себя представляет.
Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и лог-менеджментом, и сбором событий, то хочется поделиться продолжением нашей обширной аналитики в quickstart формате. Поэтому в этом выпуске подробнее разберем функционал и используемые инструменты источников на ОС Windows.
